こんにちは、ペン太郎です。
大手監査法人にて、厳しい統制が求められる金融機関を中心にシステム監査をしてきました。
システム監査はその重要性に反して中身がベールに包まれているため、理解が得られにくい業務です。
監査法人への就職・転職を志している方や監査部門に配置換えになった方、証跡の提出など何かしら業務上システム監査に携わる方に向けて、実際に監査を行ってきた知見からシステム監査について解説していきます。
社内のシステムリスク管理体制構築
システム監査での関連部門を整理しておきましょう。
システム監査という名前から想像出来るように、当然ながら、システム部門と監査部門が関連部門と言えそうです。
ここでのシステム部門の役割は、業務執行における責任を負う部門となります。
一方、監査部門は、業務部門の業務執行状況が問題なく実施出来ているかを監査(保証)する責任を負う部門となります
監査をする上での登場人物は、これらの部門だけで良いのでしょうか。
システム監査が対象とするリスクは、システム開発や運用に限ったものではありません。
BCPやサイバーセキュリティ、また、緊急時の危機対策管理体制も監査対象となるでしょう。
一度、これらのインシデントが発生すると、システム部門や監査部門だけでの対処が難しくなります。
では、これらのシステム部門の手に負えなくなったインシデントへの対処はどうすれば良いのでしょうか。
結論から書けば、必ずしも特定の部門が対処しなければならないわけではありません。何故ならば、これらのインシデントは定常的に発生するとは限らないからです。
企業を取り巻くインシデントには、定常的に発生するものと突発的に発生するものがあります。
突発的に発生するものに対してまで、BAU(Business As Usual)で対処するのは、非効率的です。
定常的に発生するインシデントに対しては、特定の部門に責務を、突発的に発生するインシデントに対しては、インシデント確認後に立ち上げる仮想組織の体制を構築するのが良いでしょう。
可能なら、サードラインディフェンスを取り入れよう
サードラインディフェンスとは、3つの防衛線(ディフェンスライン)でリスク管理体制を高度化しようといった考え方です。
ファーストライン
業務執行部門が該当。業務執行に係る責任を負います。
主に、システム部門や営業部門などが該当します。
セカンドライン
ファーストラインの業務執行に係るリスクを管理します。
業務執行と相反する役割を担います。
主に、リスク管理部門やコンプライアンス部門などが該当します。場合によっては、システムリスク管理部門を設けることもあるでしょう。
サードライン
ファーストラインとセカンドラインの業務執行状況を監査(保証)します。
主に、監査部門などが該当します。
3段階の統制によって、リスク管理体制を強化しようといった考え方となります。
上記では、部門を例示しましたが、必ずしも部門を分ける必要がありません。なので、同一部門内で住み分けが出来ていれば良いでしょう。
これらの機能を具備した組織を組成することで、強固な統制を確立することが出来ます。
さて、ここで重要なのは、セカンドラインはファーストラインに、サードラインはセカンドラインとファーストラインに自身の手の内を明かす必要がない、という点です。
何故なら、監査方法やリスク評価方法を明かしてしまえば、見られるポイントのみしっかり対処し、それ以外の領域に対しては手を抜いてしまおうというインセンティブが働いてしまうためです。
これが、監査が多くの企業人にとってベールに包まれている原因でもあります。
インシデントごとに対処方法を決めよう
これらのポイントを押さえて、システムリスク管理態勢を構築しましょう。
まずは、対処すべきリスクを洗い出しましょう。
リスクに対して、”発生頻度”と”発生した場合の影響度合い”を整理しましょう。
“発生頻度”が低く、”発生した場合のインパクトが大きいインシデント”に対しては、発生を確認した際には、危機対策本部など、仮想組織を立ち上げる様にしましょう。
これらのインシデントについては、可能ならば細かいインシデントを定義した上で、インシデント発生時のシミュレーションをする様にしましょう。
APT攻撃(Advanced Persistent Threat)を始め、近年のサイバー攻撃は高度化しており、対処が遅れると被害が益々、拡大します。その時点で見えている範囲から判断出来る様に、また、こういう攻撃が来たらこの様に対処するといった様に、日ごろからのシミュレーションが重要となります。
システムリスク管理体制に係る社外支援団体
社内でシステムリスク管理体制を構築したら、外部の専門団体に体制を評価をしてもらいましょう。
セキュリティ統制は日進月歩の分野です。5,6年間、規程や態勢をアップデートしていないと、取り残されている可能性は高くなります。
外部の専門家団体も、その組織の成り立ちにより得意分野が異なります。専門家団体の種類とその特色を整理します。
監査法人によるアドバイザリー業務
システムリスク管理態勢を構築するには、監査法人によるアドバイザリー支援を受けるのが良いでしょう。
特に、規程、規約といった運用面の評価については、監査法人に依頼するのが良いでしょう。
一方で、システムに係る知見は少ないことが多く、近年求められているセキュア設計、セキュアプログラミングといったシステム知見が求められるセキュリティ統制については、後述するセキュリティベンダーに依頼する方が良いでしょう。
とは、言いつつも、あらゆる外注サービスを活用していても、社内態勢が脆弱であれば、インシデント発生時に対処が出来なくなるでしょう。社員のセキュリティ人材育成も見据えて、態勢を構築しましょう。
規程に必要な要件を具備出来ているかの確認は、監査ノウハウのある監査法人に一日の長があります。
セキュリティベンダーによるセキュリティ診断
外部公開サービスは、セキュリティベンダーによるセキュリティ診断を受けましょう。
自社の管理するサービスの脆弱性が検知出来ます。
基本的に、セキュリティ対策は情報戦です。
セキュリティインシデントは、自社にとっては、数年に1度しか発生しない特異なものかもしれませんが、セキュリティベンダーにとっては日常業務です。自社にとっては特別なインシデントも、あらゆる企業を見ているセキュリティベンダーにとってはありきたりなインシデントとなります。
セキュリティベンダーと契約する際には、取引会社が多い企業を選ぶのが良いでしょう。
SOC(Security Operation Center)サービスを提供しているベンダーもありますので、必要に応じて契約しましょう。
近年は、SOC契約している企業も多いため、情報の集まるSOCの有用性は年々上がっています。
セキュア設計、セキュアプログラミングに係る知見も多く、コーディング規約等のチェックを依頼するのも良いです。
SIerの品質保証部門
SIerには、開発部門とは別に、独立した品質保証部門を抱えている企業が多いです。
この品質保証部門は、近年では、開発品質だけではなく、プロセス監査やセキュリティ診断もサービスとして提供していることが多いです。
実際に開発者が品質保証部門に異動になることもあり、開発経験に根差したサービス提供が売りの一つになっています。
監査法人やセキュリティベンダーに依頼するのは、敷居が高いといった際に、痒い所に手が届くサービスを提供している所が特徴となります。
いずれの企業に支援を依頼するにしましても、自社の状況を踏まえた上で、必要なスキルセットを持った外部支援団体を選択することが重要となります。
本日は、システムリスク管理態勢の構築方法を紹介しました。
システムリスク態勢は一朝一夕に構築出来るものではありません。自社の立ち位置を把握した上で、戦略を持って構築していくことが必要となります。
社員のスキルレベルを上げることが最重要ではありますが、必要な支援組織を活用出来ることも企業の能力とも言えるでしょう。
どのレベルにまで持っていくのか検討した上で、必要な施策を打っていきましょう。
関連記事
システム監査大全
コメント